linux audit user run apps

Registro de aplicativos gráficos lançados pelo usuário (para coletar estatísticas).

O sistema funciona da seguinte maneira:

• DE (ambiente gráfico de desktop) é lançado;
• As regras que capturam o lançamento (System Call execve() ) e Stop (System Calls exit_group() e kill() ) de aplicativos são carregadas no Demon auditd .

No momento, apenas o KDE (Plasmashell) é suportado, mas não haverá problema em prescrever o que são os processos de outros, adicionando assim o apoio de outros DE.

O lançamento e a parada apenas dos programas lançados diretamente de DE. Se, por exemplo, o usuário do DE lançou o navegador Chromium e o player VLC do Chromium, o lançamento do Chromium será prometido e o lançamento do VLC não será.

A visualização dos registros de auditoria é realizada no journalctl , ou a partir dos registros do Demon Auditd como este:

• ausearch -k laura_process_start
• ausearch -k laura_process_end

O Demon Auditd pode ser ajustado para não escrever arquivos /var/log/audit/audit.log* , o diário, o demônio pode "comer" os eventos da auditoria. Para fazer isso, você precisa especificar no /etc/audit/auditd.conf : write_logs = no arquivo, então todos os eventos da auditoria serão armazenados apenas no Journald. Você pode configurar os logs do Journald Centralized de diferentes computadores para um único servidor de acordo com as instruções.

Para comparar os eventos de lançamento (Laura_process_start) e STOP (Laura_process_end), o programa pode estar de acordo com o PID - um identificador exclusivo pelo processo, considerando o tempo de sua operação como a diferença entre rótulos temporários e marcas de lançamento.

Instalação da fonte:

sudo make install

Instalação do repositório Rosa Linux:

sudo dnf install linux-audit-user-run-apps (ou: sudo dnf install laura )

Instalação do Repositório Alt Linux:

sudo apt-get install linux-audit-user-run-apps (ou: sudo apt-get install laura )

Após a instalação, execute:

sudo systemctl enable --now laura.path